Azure: как обрабатывать события журнала Azure из концентратора событий и фильтровать на основе критериев
Как обрабатывать события журнала Azure из концентратора событий и фильтровать на основе критериев.
Мы пытаемся отфильтровать определенные критические или журналы диагностики и активности, связанные с безопасностью, перед загрузкой в наше решение Onprem SIEM.
Может кто-нибудь посоветовать мне, как отфильтровать данные из концентратора событий, а затем повторно загрузить их в другой концентратор событий. Возможно ли это или какие-либо другие доступные альтернативы.
На высоком уровне поток показан ниже. Источник из журналов активности или диагностики Azure (монитор) -> Концентратор событий -> Фильтр / запрос -> Концентратор событий
Концентратор событий сам по себе не может выполнять фильтрацию за вас, это всего лишь инструмент для приема, поэтому вам нужно будет взглянуть на другой инструмент, чтобы просмотреть эти данные и отфильтровать то, что вам нужно. . Самый простой инструмент для этого - Stream Analytics , который может обрабатывать данные напрямую из концентратора событий и затем отправлять их туда, где вам нужно. См. Пример здесь .